微软警告严重的“PrintNightmare”漏洞在野被利用

微软周四正式确认,影响 Windows Print Spooler的“ PrintNightmare ”远程代码执行 (RCE) 漏洞与该公司在本月早些时候发布的周二补丁更新中解决的问题不同,同时警告说它已检测到针对目标的漏洞利用企图缺陷。

该公司正在跟踪标识符为CVE-2021-34527的安全漏洞,并在 CVSS 评分系统上为其分配了 8.8 级的严重性评级。所有版本的 Windows 都包含易受攻击的代码并且容易被利用。

“当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程代码执行漏洞,”微软在其公告中说。“成功利用此漏洞的攻击者可以使用系统权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”

“攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户,”这家总部位于雷德蒙德的公司补充道。当 The Hacker News 联系到该公司时,该公司表示,除了建议之外,它没有什么可以分享的。

在香港网络安全公司深信服的研究人员向 GitHub发布了一份 Print Spooler RCE 漏洞的技术深入研究报告以及一个完全有效的 PoC 代码之后,该漏洞才在该漏洞出现数小时后被撤下。

微软警告严重的“PrintNightmare”漏洞在野被利用

这些披露还引发了关于 6 月补丁是否可以防止 RCE 漏洞的猜测和争论,CERT 协调中心指出,“虽然微软已经发布了 CVE-2021-1675 的更新,但重要的是要意识到此更新不保护 Active Directory 域控制器,或使用 NoWarningNoElevationOnInstall 选项配置了指向和打印的系统。”

CVE-2021-1675,最初归类为提权漏洞,后来修订为RCE,于2021年6月8日被微软修复。

该公司在其公告中指出,PrintNightmare 与 CVE-2021-1675 不同,原因是后者解决了 RpcAddPrinterDriverEx() 中的一个单独漏洞,并且攻击向量不同。

作为变通方法,Microsoft 建议用户禁用 Print Spooler 服务或通过组策略关闭入站远程打印。为了减少攻击面并作为完全禁用打印的替代方法,该公司还建议检查成员资格和嵌套组成员资格,并尽可能减少成员资格,或在可能的情况下完全清空组。